TIMTAM产品介绍.doc

方案中的主要产品介绍 IBM Tivoli Identity Manager IBM Tivoli Identity Manager概述 IBM Tivoli Identity Manager提供了一个安全、自动而且基于策略的用户管理解决方案，满足客户无论是在原有的IT环境还是电子商务时代的IT环境下将企业的核心业务展现给客户、供应商、合作伙伴甚至竞争对手的需求。在现有的业务流程中引入基于Web的管理和自助式服务接口的动机，反应了客户对简化及基于安全策略的自动化用户管理的需求。Tivoli Identity Manager包含一个工作流引擎，同时利用用户身份信息提供如审计、报告等功能。 IBM Tivoli Identity Manager既可以直接与用户交互，也可以与两种类型的外部系统－身份数据源和访问控制机制直接交互。身份系统管理需要在各个系统中建立帐号的用户身份的权威数据。发布系统与访问控制系统直接交互，从而建立用户帐号，提供用户信息以及密码，定义用户的授权信息。与之相反的是，在访问控制系统中进行的改动能够被发布系统所捕获并报告，然后按照安全策略对这些改动进行评估。 IBM Tivoli Identity Manager产品架构 IBM Tivoli Identity Manager的逻辑结构根据功能的不同设计为三层，如下图所示，各个组件分别为： Web用户界面层 应用层 服务层 LDAP目录 数据库 资源连结器 图34 逻辑组件结构 Web用户界面层 Web用户界面模块是一组结合在一起的子程序，包括提供用户浏览器的内容和启动applet（同时在客户端和服务器端运行），如工作流设计和表单创建。Web用户界面是用户浏览器和身份管理应用层的连接层。 在上面的图中，用户交互点有三种类型：终端用户，监督员和管理员。这些类型仅仅是概念上的，因为IBM Tivoli Identity Manager允许您随意的定义各种权限的不同用户类型。 在上面的图中，指出的重要一点是系统的基础为系统用户功能的一般性概念。例如，假定管理员需要更高的权力，要求更高级的用户界面；假定监督人员需要稍微低一些的权力，但仍需要如组织图表之类的概念；最后，终端用户没有任何假定，显示给终端用户的接口必定是仅具有基本的、直接的功能接口。 应用层 IBM Tivoli Identity Manager系统的核心正是应用层。应用层驻存于应用服务器中，提供了对其他所有进程对象的管理功能。 应用界面模块由所有的特定应用的用户界面组件构成。例如，该界面需要创建一个指派规则或者该模块中的一个帐户。这一模块可以使用Web用户界面子系统中的其他模块，例如表单提交和搜索模块。 服务层 如果说IBM Tivoli Identity Manager服务器是一个为复杂规则所开发的应用，那么应用服务器就是运行这些规则或对象的引擎。它不仅与运行用户界面的Web服务器交互，还与从属于所管理服务的适配器、存储信息的目录服务器进行交互。 核心服务子系统包含了所有的模块，提供了可用于进行用户身份管理一般性服务，如认证、授权、工作流和规则执行。这些服务经常利用其他服务来达到目的。 IBM Tivoli Identity Manager产品功能 集中式的帐户管理 IBM Tivoli Identity Manager 可以集中的为一个组织创建、管理、挂起和移除所有用户的帐户。从而降低各种用户帐号管理的成本。 基于角色的用户管理和访问控制 基于角色的访问这一概念是指，利用个人的某些已知信息来决定赋予其相应的权利。IBM Tivoli Identity Manager将用户按照角色来管理。大多数情况下，一个角色代表着通用的职责。例如，可以在组织中创建一个会计的角色，使其能够访问所有的跟会计相关的应用和资源。同样职责的应用有银行机构中的信贷人员，或者保险公司中的理赔评估人等等。为用户分配角色可以是固定的，也可以是动态的。 固定：管理员必须手动的为每位用户添加相应的角色； 动态：按照一项或多项个人数据项（LDAP属性），为每位用户自动的添加角色。例如，所有的信贷人员都会依照他们的职位、部门编号或管理者的名字统一添加到一个信贷人员角色。 一旦某位用户被IBM Tivoli Identity Manager分配了一个特定的角色，也就会获得该角色相关的资源。在我们的解决方案中，角色或者是在我们产品中唯一的被创建，或者是从您公司的HR系统依照现存角色提取出的模型。 委托管理 IBM Tivoli Identity Manager提供了委托管理功能。使用内置的访问控制项（Access Control Information，ACI）的策略，实现多方面的细粒度控制，如用户信息、报告和指派功能（策略、工作流、服务）、所